พบข้อบกพร่องใน OpenSSL สำหรับ Debian และ Ubuntu

[aratanawa]

เมื่อไม่กี่ชั่วโมงมานี้มีการค้นพบข้อบกพร่องในส่วนของการสร้างตัวเลขแบบสุ่มในแพ็กเกจ OpenSSL ทำให้การสุ่มคีย์ได้ค่าซ้ำง่ายกว่าที่ควรจะเป็น ส่งผลให้แฮกเกอร์อาจจะเดาคีย์ในเครื่องที่ใช้ OpenSSL เหล่านี้ได้

สำหรับ Ubuntu ที่ได้รับผลกระทบจากบั๊กนี้คือรุ่น 7.04, 7.10 และ 8.04 สำหรับ Debian นั้นรุ่น etch, lenny, และ sid ได้รับผลกระทบจากบั๊กนี้ ที่สำคัญกว่านั้นคือซอฟต์แวร์ที่ได้รับผลกระทบนั้น เป็นวงกว้างค่อนข้างมาก โดยส่วนที่ยืนยันว่าเกี่ยวข้องคือ

* openssh (ทั้งฝั่งผู้ใช้และเซิร์ฟเวอร์)
* OpenVPN
* DNSSEC
* ซอฟต์แวร์ที่ใช้โพรโตคอล X.509
* encfs
* Tor
* postfix
* cyrus imapd
* courier imap/pop3
* apache2 (ssl certs)
* dropbear
* cfengine

คำแนะนำในตอนนี้คือแอดมินทุกเครื่องควรอัพเกรดแพ็กเกจเหล่านี้อย่างเร่งด่วน และสร้างคีย์ขึ้นใหม่ทั้งหมดไม่ว่าจะเป็นของเครื่องเซิร์ฟเวอร์หรือของผู้ใช้เอง หรืออาจจะใช้โปรแกรม ssl-vulnkey เพื่อตรวจสอบคีย์ที่ได้รับผลกระทบจากบั๊กนี้ได้

ืที่มา : blognone

[rinetd]

เพิมเติมข้อมูลให้ครับ

ช่องโหว่ที่ว่านี้เกิดจาก Openssl packet ใน Debian,Ununtu และระบบปฏิบัติการอื่นที่พัฒนาจาก Debian
โดยในระบบที่มีช่องโหว่นี้จะใช้ Process ID ในการสุ่มเพื่อสร้างคีย์ ซึ่งเป็นที่รู้กันว่าในระบบ LINUX นั้นมี process id
ที่เป็นไปได้ทั้งหมด 32,768 ค่าจึงทำให้คีย์ที่สร้างขึ้นมานั้นมีผลเป็นไปได้ทั้งหมด 32,768 ค่านั้นเอง

ผลกระทบ

คีย์ที่ถูกสร้างขึ้นในระบบที่มีช่องโหว่ระหว่าง September 2006 ถึง May 13th, 2008 นั้นสามารถคา่ดเดาได้
คีย์ฺที่ได้รับผลกระทบนี้มีผลทั้ง client และ server

ยกตัวอย่างผลกระทบใน Application

ในระบบ SSH ในส่วนของ Client ถ้ามีการเปิดใช้ Public Authentication จะสามารถ brute force คีย์ได้
(ปัจจุบันมี Tools ที่ใช้ในกาีร brute force ออกมาแล้ว)
ในระบบ SSH ในส่วนของ Server ถ้ามีการทำ Man in the Middle Attack สามารถถอดรหัสข้อมูลได้ (brute force host key ได้)

อ้างอิง

**Hidden Content: To see this hidden content your post count must be 10 or greater.**